Condividi tramite

Risolvere gli errori di analisi degli aggiornamenti software in Configuration Manager

  • Articolo

Questo articolo descrive come risolvere gli errori di analisi degli aggiornamenti software in Configuration Manager.

Versione originale del prodotto: Microsoft System Center 2012 Configuration Manager, Microsoft System Center 2012 R2 Configuration Manager
Numero KB originale: 3090184

Riepilogo

Esistono diversi motivi per cui un'analisi degli aggiornamenti software potrebbe non riuscire. La maggior parte dei problemi riguarda problemi di comunicazione o firewall tra il client e il computer del punto di aggiornamento software. Qui vengono descritte alcune delle condizioni di errore più comuni e le relative risoluzioni e suggerimenti per la risoluzione dei problemi associati. Per altre informazioni sugli errori comuni di Windows Update, vedere Errori comuni e mitigazione di Windows Update.

Per altre informazioni sugli aggiornamenti software in Configuration Manager, vedere Introduzione agli aggiornamenti software.

Quando si risolvono gli errori di analisi degli aggiornamenti software, concentrarsi sui file WUAHandler.log e WindowsUpdate.log. WUAHandler segnala solo ciò che l'agente di Windows Update ha segnalato. L'errore nel file di WUAHandler.log sarebbe quindi lo stesso errore segnalato dall'agente di Windows Update stesso. La maggior parte delle informazioni sull'errore sarà probabilmente disponibile nel file di WindowsUpdate.log. Per altre informazioni su come leggere il file di WindowsUpdate.log, vedere File di log di Windows Update.

Errori di analisi causati da componenti mancanti o danneggiati

Gli errori 0x80245003, 0x80070514, 0x8DDD0018, 0x80246008, 0x80200013, 0x80004015, 0x800A0046, 0x800A01AD, 0x80070424, 0x800B0100 e 0x80248011 sono causati da componenti mancanti o danneggiati.

Diversi problemi possono essere causati da file mancanti o danneggiati o chiavi del Registro di sistema, registrazioni dei componenti e così via. Un buon punto di partenza consiste nell'eseguire lo strumento di risoluzione dei problemi di Windows Update per rilevare e risolvere questi problemi automaticamente.

È anche consigliabile assicurarsi di eseguire la versione più recente dell'agente di Windows Update.

Se l'esecuzione dello strumento di risoluzione dei problemi di Windows Update non risolve il problema, reimpostare l'archivio dati dell'agente di Windows Update nel client seguendo questa procedura:

  1. Arrestare il servizio Windows Update eseguendo il comando seguente:

    net stop wuauserv

  2. Rinominare la C:\Windows\SoftwareDistribution cartella in C:\Windows\SoftwareDistribution.old.

  3. Avviare il servizio Windows Update eseguendo il comando seguente:

    net start wuauserv

  4. Avviare un ciclo di analisi degli aggiornamenti software.

Gli errori 0x80244021, 0x8024401B, 0x80240030 e 0x8024402C sono causati da problemi correlati al proxy.

Verificare le impostazioni proxy nel client e assicurarsi che siano configurate correttamente. L'agente di Windows Update usa WinHTTP per cercare gli aggiornamenti disponibili. Quando è presente un server proxy tra il client e il computer WSUS, le impostazioni proxy devono essere configurate correttamente nei client per consentire loro di comunicare con WSUS usando il nome di dominio completo del computer.

Per i problemi del proxy, WindowsUpdate.log potrebbero segnalare errori simili a quelli seguenti:

0x80244021 o errore HTTP 502 - Gateway non valido

0x8024401B o errore HTTP 407 - Autenticazione proxy richiesta

0x80240030 - Il formato dell'elenco proxy non è valido

0x8024402C - Impossibile risolvere il server proxy o il nome del server di destinazione

Nella maggior parte dei casi, è possibile ignorare il proxy per gli indirizzi locali perché il computer WSUS si trova all'interno della intranet. Tuttavia, se il client è connesso a Internet, è necessario assicurarsi che il server proxy sia configurato per abilitare tale comunicazione.

Per visualizzare le impostazioni proxy WinHTTP, eseguire uno dei comandi seguenti:

  • In Windows XP: proxycfg.exe
  • In Windows Vista e versioni successive: netsh winhttp show proxy

Le impostazioni proxy configurate in Internet Explorer fanno parte delle impostazioni proxy WinINET. Le impostazioni proxy WinHTTP non corrispondono necessariamente alle impostazioni proxy configurate in Internet Explorer. Tuttavia, se le impostazioni proxy sono impostate correttamente in Internet Explorer, è possibile importare la configurazione del proxy da Internet Explorer. Per importare la configurazione del proxy da Internet Explorer, eseguire uno dei comandi seguenti:

  • In Windows XP: proxycfg.exe -u
  • In Windows Vista e versioni successive: netsh winhttp import proxy source =ie

Per altre informazioni, vedere How the Windows Update client determine which proxy server to use to connect to the Windows Update website.For more information, see How the Windows Update client determine which proxy server to use to connect to the Windows Update website.

Errori: 0x80072ee2, 0x8024401C, 0x80244023 o 0x80244017 (stato HTTP 401), 0x80244018 (stato HTTP 403)

Verificare la connettività con il computer WSUS. Durante un'analisi, l'agente di Windows Update deve comunicare con le ClientWebService directory virtuali e SimpleAuthWebService nel computer WSUS per eseguire un'analisi. Se il client non riesce a comunicare con il computer WSUS, l'analisi non riesce. Questo problema può verificarsi per diversi motivi, tra cui:

  • configurazione della porta
  • configurazione proxy
  • problemi del firewall
  • connettività di rete

Per prima cosa, trovare l'URL del computer WSUS controllando la seguente chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Provare ad accedere all'URL per verificare la connettività tra il client e il computer WSUS. Ad esempio, l'URL usato dovrebbe essere simile all'URL seguente:
http://SUPSERVER.CONTOSO.COM:8530/Selfupdate/wuident.cab

Controllare quindi se il client può accedere alla ClientWebService directory virtuale. L'URL dovrebbe essere simile all'URL seguente:
http://SUPSERVER.CONTOSO.COM:8530/ClientWebService/wusserverversion.xml

Verificare infine se il client può accedere alla SimpleAuthWebService directory virtuale. L'URL dovrebbe essere simile all'URL seguente: http://SUPSERVER.CONTOSO.COM:8530/SimpleAuthWebService/SimpleAuth.asmx

Se questi test hanno esito positivo, esaminare i log di Internet Information Services (IIS) nel computer WSUS per verificare che gli errori HTTP vengano restituiti da WSUS. Se il computer WSUS non restituisce l'errore, il problema è probabilmente con un firewall o un proxy intermedio.

Se uno di questi test non riesce, verificare la presenza di problemi di risoluzione dei nomi nel client. Verificare che sia possibile risolvere il nome di dominio completo del computer WSUS.

Verificare anche le impostazioni proxy nel client per assicurarsi che siano configurate correttamente. Per altre informazioni, vedere la sezione Errori di analisi a causa di problemi correlati al proxy.

Verificare infine che sia possibile accedere alle porte WSUS. WSUS può essere configurato per l'uso di una delle porte seguenti:

  • 80
  • 443
  • 8530
  • 8531

Per consentire ai client di comunicare con il computer WSUS, le porte appropriate devono essere abilitate in qualsiasi firewall tra il client e il computer WSUS.

Determinare le impostazioni della porta usate da WSUS e dal punto di aggiornamento software

Le impostazioni delle porte vengono configurate quando viene creato il ruolo del sistema del sito del punto di aggiornamento software. Queste impostazioni di porta devono corrispondere alle impostazioni della porta usate dal sito Web WSUS. In caso contrario, Gestione sincronizzazione WSUS non si connetterà al computer WSUS in esecuzione nel punto di aggiornamento software per richiedere la sincronizzazione. Le procedure seguenti illustrano come verificare le impostazioni delle porte usate da WSUS e dal punto di aggiornamento software.

Determinare le impostazioni della porta WSUS in IIS 6.0

  1. Nel server WSUS aprire Gestione Internet Information Services (IIS).
  2. Espandere Siti Web, fare clic con il pulsante destro del mouse sul sito Web per il server WSUS e quindi scegliere Proprietà.
  3. Selezionare la scheda Sito Web.
  4. L'impostazione della porta HTTP viene visualizzata nella porta TCP e l'impostazione della porta HTTPS viene visualizzata nella porta SSL.

Determinare le impostazioni delle porte WSUS in IIS 7.0 e versioni successive

  1. Nel server WSUS aprire Gestione Internet Information Services (IIS).
  2. Espandere Siti, fare clic con il pulsante destro del mouse sul sito Web per il server WSUS e quindi scegliere Modifica associazioni.
  3. Nella finestra di dialogo Associazioni sito i valori delle porte HTTP e HTTPS vengono visualizzati nella colonna Porta.

Verificare e configurare le porte per il punto di aggiornamento software

  1. Nella console di Configuration Manager passare ad Amministrazione>Server di configurazione>del sito e Ruoli del sistema del sito e quindi selezionare< SiteSystemName> nel riquadro destro.
  2. Nel riquadro inferiore fare clic con il pulsante destro del mouse su Punto di aggiornamento software e quindi scegliere Proprietà.
  3. Nella scheda Generale specificare o verificare i numeri di porta di configurazione WSUS.

Dopo aver verificato e configurato correttamente le porte, è necessario controllare la connettività delle porte dal client eseguendo il comando seguente:

telnet SUPSERVER.CONTOSO.COM <PortNumber>

Se la porta non è accessibile, telnet restituisce un errore simile al seguente.

Impossibile aprire la connessione all'host sulla porta <PortNumber>

Questo errore suggerisce che le regole del firewall devono essere configurate per abilitare la comunicazione per le porte del server WSUS.

L'analisi ha esito negativo con errore 0x80072f0c

L'errore 0x80072f0c viene convertito in Un certificato è necessario per completare l'autenticazione client. Questo errore deve verificarsi solo se il computer WSUS è configurato per l'uso di SSL. Nell'ambito della configurazione SSL, le directory virtuali WSUS devono essere configurate per l'uso di SSL e devono essere impostate per ignorare i certificati client. Se il sito Web WSUS o una delle directory virtuali menzionate in precedenza sono configurati in modo non corretto in Accetta o Richiedi certificati client, viene visualizzato questo errore.

Controllare la configurazione SSL

Quando il sito è configurato solo in modalità HTTPS, il punto di aggiornamento software viene configurato automaticamente per l'uso di SSL. Quando il sito è in modalità HTTPS o HTTP , è possibile scegliere se configurare il punto di aggiornamento software per l'uso di SSL. Quando il punto di aggiornamento software è configurato per l'uso di SSL, il computer WSUS deve anche essere configurato in modo esplicito per l'uso di SSL. Prima di configurare SSL, è necessario esaminare i requisiti del certificato. Assicurarsi che nel server del punto di aggiornamento software sia installato un certificato di autenticazione server.

Verificare che il punto di aggiornamento software sia configurato per SSL

  1. Nella console di Configuration Manager passare ad Amministrazione>Server di configurazione>del sito e Ruoli del sistema del sito e quindi selezionare< SiteSystemName> nel riquadro a destra.
  2. Nel riquadro inferiore fare clic con il pulsante destro del mouse su Punto di aggiornamento software e quindi scegliere Proprietà.
  3. Nella scheda Generale verificare che l'opzione seguente sia abilitata:
    Richiedere la comunicazione SSL al server WSUS

Verificare che il computer WSUS sia configurato per SSL

  1. Aprire la console WSUS nel punto di aggiornamento software per il sito.
  2. Nel riquadro dell'albero della console selezionare Opzioni.
  3. Nel riquadro di visualizzazione selezionare Aggiorna origine e server proxy.
  4. Verificare che l'opzione Usa SSL durante la sincronizzazione delle informazioni di aggiornamento sia selezionata.

Aggiungere il certificato di autenticazione server al sito Web amministrazione WSUS

  1. Nel computer WSUS avviare Gestione Internet Information Services (IIS).
  2. Espandere Siti, fare clic con il pulsante destro del mouse su Sito Web predefinito o sul sito Web amministrazione WSUS se WSUS è configurato per l'uso di un sito Web personalizzato e quindi scegliere Modifica associazioni.
  3. Selezionare la voce HTTPS e quindi selezionare Modifica.
  4. Nella finestra di dialogo Modifica associazione sito selezionare il certificato di autenticazione server e quindi selezionare OK.
  5. Nella finestra di dialogo Modifica associazione sito selezionare OK, quindi selezionare Chiudi.
  6. Uscire da Gestione IIS.

Importante

Assicurarsi che il nome di dominio completo specificato nelle proprietà del sistema del sito corrisponda al nome di dominio completo specificato nel certificato. Se il punto di aggiornamento software accetta solo connessioni dalla Intranet, il nome soggetto o il nome alternativo soggetto devono contenere il nome di dominio completo Intranet. Quando il punto di aggiornamento software accetta solo connessioni client da Internet, il certificato deve comunque contenere sia il nome di dominio completo Internet che l'FQDN Intranet, perché WCM e WSyncMgr usano ancora il nome di dominio completo Intranet per connettersi al punto di aggiornamento software. Se il punto di aggiornamento software accetta connessioni sia da Internet che dalla Intranet, sia il nome di dominio completo Internet che il nome di dominio completo Intranet devono essere specificati utilizzando il delimitatore di simboli e commerciale (&) tra i due nomi.

Verificare che SSL sia configurato nel computer WSUS

Per altre informazioni, vedere Configurare SSL nel server WSUS.

Importante

Non è possibile configurare l'intero sito Web WSUS per richiedere SSL, perché tutto il traffico verso il sito WSUS deve essere crittografato. WSUS crittografa solo i metadati di aggiornamento. Se un computer tenta di recuperare i file di aggiornamento sulla porta HTTPS, il trasferimento avrà esito negativo.

Criteri di gruppo sostituisce le informazioni di configurazione di WSUS corrette

La funzionalità Aggiornamenti software configura automaticamente un'impostazione di Criteri di gruppo locale per il client di Configuration Manager, in modo che sia configurata per l'uso del percorso di origine del punto di aggiornamento software e del numero di porta. Sia il nome del server che il numero di porta sono necessari per il client per trovare il punto di aggiornamento software.

Se un'impostazione di Criteri di gruppo di Active Directory viene applicata ai computer per l'installazione del client del punto di aggiornamento software, esegue l'override dell'impostazione di Criteri di gruppo locale. A meno che il valore dell'impostazione definita in Criteri di gruppo sia identico a quello impostato da Configuration Manager (nome server e porta), l'analisi degli aggiornamenti software di Configuration Manager avrà esito negativo nel client. In questo caso, il file WUAHandler.log mostra la voce seguente:

Group policy settings were overwritten by a higher authority (Domain Controller) to: Server http://server and Policy ENABLED

Per risolvere questo problema, il punto di aggiornamento software per l'installazione client e gli aggiornamenti software devono essere lo stesso server. E deve essere specificato nell'impostazione di Criteri di gruppo di Active Directory usando il formato del nome e le informazioni sulla porta corretti. Ad esempio, se il punto di aggiornamento software usa il sito Web predefinito, il punto di aggiornamento software sarà http://server1.contoso.com:80.

I client non riescono a trovare il percorso del server WSUS

  1. Per informazioni sul modo in cui i client ottengono il percorso del server WSUS, vedere Percorso del server WSUS. Esaminare i log del client e del punto di gestione.
  2. Abilitare la registrazione dettagliata e di debug nel client e nel punto di gestione.
  3. Verificare che nel client non siano presenti errori di comunicazione in CcmMessaging.log.
  4. Se il punto di gestione restituisce una risposta di posizione WSUS vuota, potrebbe verificarsi una mancata corrispondenza nella versione del contenuto di WSUS. Potrebbe trattarsi di un risultato della sincronizzazione non riuscita. Per trovare la versione del contenuto del punto di aggiornamento software, nella console di Configuration Manager selezionare Monitoraggio>dello stato di sincronizzazione del punto di aggiornamento software.
  5. Esaminare i dati nelle CI_UpdateSourcesWSUSServerLocations tabelle e Update_SyncStatus verificare che l'ID univoco dell'origine di aggiornamento e la versione del contenuto corrispondano in queste tabelle.

Risultati di conformità sconosciuti

  1. Esaminare il file PolicyAgent.log nel client per verificare che il client riceva i criteri.
  2. Verificare che la sincronizzazione degli aggiornamenti software abbia esito positivo nel punto di aggiornamento software. Se la sincronizzazione non riesce, risolvere i problemi di sincronizzazione.
  3. Se il file WUAHandler.log non esiste e non viene creato dopo l'avvio di un ciclo di analisi, il problema si verifica probabilmente a causa di uno dei motivi seguenti:
  4. Verificare che nel file di CcmMessaging.log nel client non siano presenti errori di comunicazione.
  5. Se l'analisi ha esito positivo, il client deve inviare messaggi di stato al punto di gestione per indicare lo stato dell'aggiornamento. Per informazioni sul funzionamento dell'elaborazione dei messaggi di stato, vedere Flusso di elaborazione dei messaggi di stato.

Altri problemi

Per altre informazioni, vedere Risolvere i problemi di analisi degli aggiornamenti software client.